WhatsApp-Verschlüsselung: Was sie schützt und was lesbar bleibt

Naja !14
Die WhatsApp-Verschlüsselung hält nicht alles geheim.
Die WhatsApp-Verschlüsselung hält nicht alles geheim.(© 2016 CURVED)

WhatsApp verschlüsselt endlich unsere Nachrichten auf allen Geräten. Das ist ein weiterer großer Schritt weg von Überwachung hin zu Privatsphäre. Nachrichten, Fotos, Videos und Dateien können so nicht mehr von Dritten gesehen und gehört werden. Aber nicht alle Daten sind durch diese Verschlüsselung geschützt.

Zusammen mit dem Kryptographie-Experten Moxie Marlinspike haben die WhatsApp-Gründer Brian Acton und Jan Koum in der aktuellen Version des Chat-Programms eine Ende-zu-Ende-Verschlüsselung implementiert. Sie ist so einfach zu nutzen, wie noch kein anderes Kryptographie-Tool bisher.

Was bedeutet Ende-zu-Ende-Verschlüsselung?

Wie der Name "Ende-zu-Ende" schon sagt, werden bei diesem Verfahren die Nachrichten beim Sender verschlüsselt und erst beim Empfänger wieder lesbar gemacht. Alle Zwischenstationen wie zum Beispiel der WhatsApp-Nachrichten-Server oder Hacker, die die Nachrichten abfangen, sehen nur kryptischen Datenmüll.

Das hat den Vorteil, dass selbst wenn die Nachrichten auf dem Weg mitgelesen werden, sie nirgends im Klartext vorliegen. Nur der Empfänger hat den Schlüssel, um die kryptische Zeichenfolge wieder lesbar zu machen. Diese Technik wird zum Beispiel auch bei "Off-the-Record"-Chats (OTR) oder der GPG-Verschlüsselung verwendet, die Edward Snowden damals nutzte, um mit dem Journalisten Glenn Greenwald und Laura Poitras, der Regisseurin vom Snowden-Dokumentarfilm "Citizenfour", zu kommunizieren.

Die WhatsApp-Verschlüsselung funktioniert überall.(© 2016 CURVED)

WhatsApp verwendet das "Signal Protokoll" von Marlinspikes Open Whisper Systems. Dabei werden bei der Installation öffentliche Schlüssel erstellt. Die sind notwendig, damit Euch jemand verschlüsselte Nachrichten schicken kann. Lesbar gemacht werden die eingehenden Nachrichten dann durch eine Kombination aus den öffentlichen Schlüsseln des Senders und dem privaten Schlüssel des Empfängers, den nur er kennt.

Spannend ist dabei die zusätzliche Verwendung von "Einmal-Schlüsseln" pro Nachricht. Stellt Euch einen Stapel Schlüssel vor, die für Euch gelten. Der Sender nimmt sich jetzt einen von Euch und verschlüsselt seine Nachricht damit zusätzlich. Danach wird er kein zweites Mal verwendet, für die nächste Nachricht nimmt er sich wieder einen neuen. Das sorgt für mehr Sicherheit, da abgefangene Nachrichten nicht mehr lesbar gemacht werden können, falls jemand Euren privaten Schlüssel ergaunert hat. Die Verschlüsselung basiert jeweils auf dem Advanced Encryption Standard (AES), der mit 256-Bit-Schlüsseln noch als sicher gilt.

Was bleibt trotzdem sichtbar?

Auch wenn wir uns alle sehr über den Schritt von WhatsApp freuen - der Nachrichtendienst, der seit 2014 zu Facebook gehört, lässt noch ein paar Lücken. Denn die Chats sind nicht anonym.

Bei der WhatsApp-Verschlüsselung werden nun zwar Nachrichten, Dateien und Anrufe verschlüsselt - nicht aber die sensiblen Metadaten, wie zum Beispiel, wer mit wem zu welcher Zeit kommuniziert und ob der Empfänger die Nachricht gelesen hat. Das zitiert Micah Lee auf Twitter. Er ist Journalist und Entwickler für Open Source Software und wurde damals auch von Edward Snowden kontaktiert. Er hat für ihn den Kontakt mit Laura Poitras hergestellt.

Awesome that @WhatsApp is encrypted, but keep in mind it doesn't hide who you're texting https://t.co/i8G61TUo9i pic.twitter.com/PbXN3IF8UJ — Micah Lee (@micahflee) April 5, 2016

Micah Lee beschreibt eine Lösung des Problems in einem Artikel für "The Intercept": Wenn beispielsweise das literarische Liebespaar Romeo und Julia digital Kontakt gehabt hätte und die Familien würden den Datenverkehr abfangen, wäre klar, dass die beiden kommunizieren, auch wenn man nicht weiß, was in den Nachrichten steht, weil diese verschlüsselt sind. Allein die Tatsache, DASS sie Kontakt haben, gefällt den Familien so gar nicht.

Sie brauchen also neue Identitäten, bei denen niemand weiß, dass dahinter Romeo und Julia stecken. Denn dann ist es egal, wenn jemand weiß, dass die Usernamen "Ceres" und "Eris" miteinander kommunizieren. Problem gelöst? Nein! Denn wenn beispielsweise der Computer von Julia komplett überwacht wird, und sich "jemand" auf diesem PC mit dem Usernamen "Ceres" einloggt, ist es leicht, die Verbindung herzustellen, dass sie dahinter steckt.

WhatsApp-Verschlüsselung: Kontakte zu verifizieren sorgt für mehr Sicherheit, aber nicht für eine anonyme Kommunikation.(© 2016 CURVED)

Was das Liebespaar also zusätzlich braucht, um wirklich sicher und unentdeckt zu kommunizieren, ist eine klare Trennung ihrer wahren Identität und den Aktivitäten unter ihren Pseudonymen. Die einfachste Möglichkeit ist dabei derzeit die Verwendung von Tor. Dieses dezentrale Netzwerk sorgt dafür, dass die Verbindung über verschiedene Knoten geleitet und verschleiert wird, sodass nicht ersichtlich ist, welche IP-Adresse man verwendet oder wo man sich aufhält. Den Tor-Browser bzw. das Tor-Netzwerk kann auch auf mobilen Geräten benutzt werden.

Außerdem sei noch gesagt, dass die WhatsApp-Verschlüsselung nur bis zu dem Moment gilt, bis Ihr die Nachricht empfangt. Wenn Euer Gerät jetzt mit Schadsoftware infiziert ist, ist es möglich die Nachrichten, Fotos und Sprachanrufe trotzdem zu sehen und zu hören - denn hier werden sie im Klartext angezeigt. Deshalb solltet Ihr nicht auf ein Antiviren-Programm verzichten, um Euer Gerät vor Fremdeinwirkung zu schützen.


Weitere Artikel zum Thema
CURVED-Cast #25: Virtual-Reality-Porn in Sach­sen?!
Marco Engelien1
CURVED Cast 25
Im CURVED-Cast geht es heiß her, denn die Sachsen sind VR-Porn-Meister. Außerdem wundern sich Felix und Marco über Huaweis Update-Politik.
iPhone 7: Über­lebt es Flüs­sig­stick­stoff in einem Knet­ball?
Michael Keller4
Peinlich !6iPhone 7 Knete
Kennt Ihr intelligente Knete? TechRax schon. Der YouTuber verschließt darin ein iPhone 7, bevor er es Flüssigstickstoff aussetzt.
BlackBerry Mercury: Fotos sollen das Tasta­tur-Smart­phone zeigen
Michael Keller1
Her damit !29Mit dem BlackBerry Mercury könnte eine Ära zu Ende gehen
BalckBerry will mit dem Mercury ein letztes Smartphone mit physischer Tastatur herausbringen. Fotos sollen das Gerät nun in freier Wildbahn zeigen.